通用数据级权限控制解决方案的实现(一) (转）

 

BI数据分析是目前企业的热门应用，而对企业来说，进行权限控制是必须而且非常重要的，尤其是作为决策用的企业报表。在BI解决方案中，权限控制又分为2种：一种是报表级权限控制，这类型权限控制没有什么好讲的，报表系统都本身就支持了。另一种比较复杂的就是数据级权限控制，所谓的数据级权限控制，就是用户只能看自己权限范围内的数据以及这些数据的统计结果。比如一个大型公司的华南区销售主管就不能看到华北区的销售数据和统计结果；虽然华南区主管和华北区主管都是浏览同一张销售报表，但是该报表上出来的数据结果却不一样。

在这个系列里，我将讲述下基于微软的SSAS来实现通用的数据级权限控制解决方案。而SSRS不会在本文中涉及，因为SSRS是进行报表级权限控制的，与数据级权限的控制并没有关系。其实有数据级权限控制支持的报表，其报表级权限控制甚至都可以不需要，因为没有权限的用户看到的只是一片数据上的空白；当然了，从实际角度出发，还是需要做好报表级权限控制的。

基于SQL Server的BI解决方案中，数据级权限的控制会涉及如下内容：

1. 在SSAS的Cube中设置需要对哪些维度进行数据级权限控制
2. 提供给用户一个界面友好的控制台，让用户能够非常方便的做数据级权限控制的配置。

为了更好的讲述数据级权限控制的效果，我们以一个实例来说明。在我们的Cube中有一个维度是"区域-城市-办公室"，我们主要是控制该维度的数据级权限。区域分为：华南区、华北区、华东区、西南区、东北区；在效果上主要看对区域进行数据权限控制下的报表结果。

明白了我们的任务，首先开始的是如何在SSAS的Cube中作设置，让其支持我们的数据级权限控制。这个设置分为2部分：

1. 通过SSAS的自定义DLL来读取用户的权限设置，如果是我们的示例，就是读取用户是哪个区域的。
2. 创建一个新的角色，设置该角色的维度数据的自定义允许的结果集。

第一步是开发一个.NET 类库，并且把这个类库部署到SSAS中，准备提供给第二步的设置中使用。其实这个类库的代码比较简单，一般都不会超过50行。我们来看看代码和简单的说明：

 public class DataSecurity
    {
        // 返回用户有权限查看到的数据集字符串, 类似return "{[Location].[City].&[Seattle]}";
        // domain_account：浏览报表的用户域帐号
         // dimension：要查找的维度，实际为维度的Attribute
        public static string GetDimensionSet(string domain_account, string dimension, string unique_name)
        {
            String connection_string = string.Empty;

            // BI.DataSecurity.Settings.txt 中保存了一个数据库连接字符串，该数据库记录了用户的具体权限配置。
            using (StreamReader sr = new StreamReader("C:\BI.DataSecurity.Settings.txt"))
            {
                connection_string = sr.ReadLine();
            }

            SqlConnection connection = new SqlConnection(connection_string);

            connection.Open();

            SqlCommand command = new SqlCommand("GetDimensionSet", connection);

            command.CommandType = System.Data.CommandType.StoredProcedure;

            SqlParameter p1 = new SqlParameter("@domain_account", domain_account);
            SqlParameter p2 = new SqlParameter("@dimension", dimension);

            command.Parameters.Add(p1);
            command.Parameters.Add(p2);

            SqlDataReader reader = command.ExecuteReader();

            string result_set = string.Empty;

            int count = 0;

            while (reader.Read())
            {
                count++;

                if (result_set != string.Empty) result_set += ",";

                result_set += (string)reader["DimensionSet"];
            }

            command.Dispose();

            connection.Close();

            connection.Dispose();

            if (count == 0)
            {
                return "{" + unique_name + "}";
            }

            return "{" + result_set + "}";
        }

        public DataSecurity()
        {
        }
    }

我们把这个生成的DLL命名为：BIDataSecurity.dll

接下来，就需要将这个DLL放到SSAS中以供后面的维度数据中的设置调用。

打开SSAS，点击如下图所示的"New Assembly..."，然后在打开的窗口中，把上面的这个BIDataSecurity.dll传到SSAS中。

完成以后，我们就完成了第一步，设置好了Cube的自定义DLL，第二步中将调用这个接口来获取用户的授权数据。